> ## Documentation Index
> Fetch the complete documentation index at: https://docs.cloudthinker.io/llms.txt
> Use this file to discover all available pages before exploring further.

# セキュリティと認証

> MFA、SSO、ロールベースアクセス制御でCloudThinkerへのアクセスを保護する

CloudThinkerはエンタープライズグレードのセキュリティを実装し、クラウドインフラデータを保護して、承認されたユーザーのみが機密操作にアクセスできるようにします。

***

## AIオペレーションプラットフォームにセキュリティが重要な理由

CloudThinkerのエージェントは、クラウドインフラへの読み取り（および任意で書き込み）アクセスを持ちます。これは強力な機能であり、すべてのクラウドアカウントにわたる自律的な分析と最適化を可能にします。しかし同時に、プラットフォーム自体が不正アクセス、クレデンシャル漏洩、プロンプトインジェクション攻撃に対して堅牢でなければならないことを意味します。

セキュリティモデルは次の原則に基づいて設計されています:

* **デフォルトで最小権限**: エージェントは、書き込みアクセスが明示的に設定・承認されない限り、読み取り専用クレデンシャルを使用する
* **ゼロ永続性**: [承認ワークフロー](/ja/guide/approval)を経ないエージェントアクションはインフラを変更しない
* **多層防御**: MFA、SSO、RBAC、監査ログ、サンドボックス分離を組み合わせて外部攻撃と内部の悪用の両方を防御する
* **透明性**: すべてのエージェントアクションは、それを開始したユーザー、承認チェーン、実行されたコマンドとともにログに記録される

## 認証方法

| 方法             | 説明                      |
| -------------- | ----------------------- |
| メールとパスワード      | セキュアなパスワード要件を持つ標準認証     |
| 多要素認証          | 追加セキュリティのためのTOTPベースのMFA |
| シングルサインオン（SSO） | IDプロバイダーとのSAML/OIDC連携   |
| APIキー          | APIへのセキュアなプログラムアクセス     |

***

## 多要素認証（MFA）

TOTPベースのMFAでセキュリティのレイヤーを追加します:

### MFAの有効化

<Steps>
  <Step title="セキュリティ設定に移動する">
    **Profile > Security Settings** に移動します
  </Step>

  <Step title="MFAを有効にする">
    **Enable Multi-Factor Authentication** をクリックします
  </Step>

  <Step title="QRコードをスキャンする">
    認証アプリ（Google Authenticator、Authy、1Passwordなど）を使ってQRコードをスキャンします
  </Step>

  <Step title="セットアップを確認する">
    認証アプリに表示される6桁のコードを入力してセットアップを確認します
  </Step>

  <Step title="バックアップコードを保存する">
    アカウント復旧のためにバックアップコードをダウンロードして安全に保管します
  </Step>
</Steps>

### ログイン時のMFA

MFAが有効な場合:

1. メールとパスワードを入力する
2. 認証アプリの現在の6桁のコードを入力する
3. アクセスが許可される

### 復旧オプション

認証アプリにアクセスできなくなった場合:

* バックアップコードを使用する（1回のみ有効）
* 組織管理者にMFAリセットを依頼する
* 本人確認を行ってサポートに連絡する

<Warning>
  バックアップコードは安全に保管してください。各コードは1回しか使用できません。すべてのバックアップコードと認証アプリへのアクセスを失った場合、アカウント復旧には本人確認が必要になる場合があります。
</Warning>

***

## シングルサインオン（SSO）

EnterpriseプランはSSOの[SSO](/ja/guide/security/sso)連携をサポートします:

SSOは組織オーナーが **Admin Settings → Identity and access** で設定します。主な機能:

* **ドメイン確認** — SSO有効化前にメールドメインの所有権を証明する
* **SAMLまたはOIDC** — IDプロバイダーがサポートするプロトコルを選択する
* **SSO強制** — 確認済みドメインを持つすべてのユーザーにSSO認証を任意で必須化する
* **JITプロビジョニング** — 初回SSOログイン時にユーザーアカウントを自動作成する
* **SCIMディレクトリ同期** — IdPからのユーザーとグループのプロビジョニングを自動化する

### SSOの設定

<Card title="SSOセットアップガイド" icon="key" href="/ja/guide/security/sso">
  Google Workspace、Azure AD、AWS IAM Identity Center、Okta、OneLogin、および汎用SAML/OIDCのステップバイステップセットアップ
</Card>

### SSO強制

組織管理者はSSOを強制できます:

* すべてのユーザーにSSO経由の認証を必須化する
* パスワードベースのログインを無効にする
* 初回SSOログイン時にユーザーを自動プロビジョニングする
* IdPから削除されたときに自動デプロビジョニングする

***

## ロールベースアクセス制御（RBAC）

きめ細かな権限でユーザーの操作を制御します:

### 組織ロール

| ロール        | 説明         | 権限                             |
| ---------- | ---------- | ------------------------------ |
| **Owner**  | 組織の完全な制御   | すべての権限、請求、メンバー管理               |
| **Admin**  | 組織管理       | ワークスペース、メンバー、設定の管理（請求を除く）      |
| **Member** | 標準アクセス     | 割り当てられたワークスペースへのアクセス、エージェントの使用 |
| **Viewer** | 読み取り専用アクセス | ダッシュボードとレポートの閲覧のみ              |

### ワークスペースロール

| ロール                 | 説明            | 権限                        |
| ------------------- | ------------- | ------------------------- |
| **Workspace Admin** | ワークスペースの完全な制御 | すべてのワークスペース操作、メンバー管理      |
| **Editor**          | 標準操作          | エージェントの実行、推奨事項の作成、設定の変更   |
| **Operator**        | 制限された操作       | エージェントの実行、データの閲覧、設定の変更は不可 |
| **Viewer**          | 読み取り専用        | ダッシュボード、レポート、推奨事項の閲覧      |

### 権限マトリックス

| アクション       | Owner | Admin | Editor | Operator | Viewer |
| ----------- | ----- | ----- | ------ | -------- | ------ |
| ダッシュボードの閲覧  | Yes   | Yes   | Yes    | Yes      | Yes    |
| エージェント会話の実行 | Yes   | Yes   | Yes    | Yes      | No     |
| 推奨事項の作成     | Yes   | Yes   | Yes    | No       | No     |
| 操作の承認       | Yes   | Yes   | Yes    | No       | No     |
| 接続の管理       | Yes   | Yes   | Yes    | No       | No     |
| メンバーの管理     | Yes   | Yes   | No     | No       | No     |
| 組織設定        | Yes   | Yes   | No     | No       | No     |
| 請求          | Yes   | No    | No     | No       | No     |

***

## API認証

CloudThinkerへのセキュアなプログラムアクセス:

### APIキー

自動化のためのAPIキーを生成します:

1. **Profile > API Keys** に移動する
2. **Create API Key** をクリックする
3. キーに名前を付けて有効期限を設定する
4. キーをコピーする（一度のみ表示）
5. APIリクエストで使用する

```bash theme={null}
# Example API request
curl -H "Authorization: Bearer <api_key>" \
  https://api.cloudthinker.io/v1/workspaces
```

### キー管理

* **ローテーション**: 定期的にキーをローテーションする（推奨: 90日ごと）
* **スコープ**: 可能な限り特定の操作にキーを限定する
* **監視**: 監査ログでキーの使用状況を確認する
* **失効**: 侵害されたキーをすぐに失効させる

<Warning>
  APIキーをバージョン管理にコミットしないでください。環境変数やシークレット管理ツールを使用してください。
</Warning>

### OAuthトークン

OAuthを使用する連携の場合:

* トークンは自動的に更新される
* **Settings > Connected Apps** からアクセスを失効させる
* 監査ログでトークンの使用状況を監視する

***

## データセキュリティ

### 暗号化

CloudThinkerはデータを次の方法で保護します:

| レイヤー       | 保護                 |
| ---------- | ------------------ |
| **転送中**    | すべての接続にTLS 1.3     |
| **保存時**    | AES-256暗号化         |
| **シークレット** | 暗号化されたクレデンシャルストレージ |
| **バックアップ** | 暗号化されたデータベースバックアップ |

### [Bring Your Own Key（BYOK）](/ja/guide/byok)

Enterpriseカスタマーは独自の暗号化キーを使用できます:

1. AWS KMSまたは類似のサービスを設定する
2. キーのARNをCloudThinkerに提供する
3. キーで機密データを暗号化する
4. キーの完全な制御を維持する

<Card title="BYOKを設定する" icon="key" href="/ja/guide/byok">
  Bring Your Own Key暗号化のセットアップ
</Card>

### データレジデンシー

* ワークスペース作成時にデータリージョンを選択する
* データは選択したリージョン内に保持される
* 冗長性のためのマルチリージョンオプション

***

## 監査ログ

CloudThinker内のすべてのアクティビティを追跡します:

### 記録されるイベント

* ユーザー認証（ログイン、ログアウト、MFA）
* リソースアクセスと変更
* エージェントの会話とアクション
* 管理上の変更
* APIアクセス

### 監査ログの表示

1. **Admin Settings > Organization** に移動する
2. 以下でフィルタリングする:
   * ユーザー
   * アクションタイプ
   * リソース
   * 日付範囲
3. コンプライアンスのためにログをエクスポートする

### ログ保持期間

* Standard: 90日
* Professional: 1年
* Enterprise: 設定可能（最長7年）

***

## セキュリティのベストプラクティス

<AccordionGroup>
  <Accordion title="すべてのユーザーにMFAを有効にする">
    特に管理者アクセスを持つメンバーを含む、すべての組織メンバーにMFAを必須化します。[SSO](/ja/guide/security/sso)ポリシーによる強制も検討してください。
  </Accordion>

  <Accordion title="最小権限を使用する">
    各ユーザーの責任に必要な最小ロールを割り当てます。権限を定期的にレビューして調整します。
  </Accordion>

  <Accordion title="クレデンシャルを定期的にローテーションする">
    APIキー、更新トークン、クラウドクレデンシャルを定期的にローテーションします。
  </Accordion>

  <Accordion title="監査ログを監視する">
    不審なアクティビティを確認するために監査ログを定期的にレビューします。重要なイベントにはアラートを設定します。
  </Accordion>

  <Accordion title="クラウド接続を保護する">
    可能な限り読み取り専用クレデンシャルを使用します。必要なサービスとリージョンにスコープを制限します。
  </Accordion>

  <Accordion title="定期的にアクセスをレビューする">
    四半期ごとにアクセスレビューを実施します。非アクティブなユーザーを削除し、不要な権限を失効させます。
  </Accordion>
</AccordionGroup>

***

## コンプライアンス

CloudThinkerは以下のコンプライアンスを維持しています:

* **SOC 2 Type II**: セキュリティ、可用性、機密性
* **GDPR**: EUユーザーのデータ保護
* **HIPAA**: ヘルスケアデータの取り扱い（Enterprise）
* **ISO 27001**: 情報セキュリティ管理

<Card title="コンプライアンスドキュメントのリクエスト" icon="file-certificate" href="mailto:security@cloudthinker.io">
  セキュリティアンケートとコンプライアンスドキュメントについてお問い合わせください
</Card>

## 関連

<CardGroup cols={2}>
  <Card title="シングルサインオン" icon="key" href="/ja/guide/security/sso">
    Google Workspace、Azure AD、Oktaなどを使ったSAMLまたはOIDC SSOの設定
  </Card>

  <Card title="SCIMプロビジョニング" icon="users-gear" href="/ja/guide/security/scim">
    IDプロバイダーからのユーザーとグループの同期を自動化する
  </Card>
</CardGroup>
